Vpc内部署

在VPC内部启动

部署时间: 大约30分钟

先决条件

请查看所有的考虑因素并确保您在要部署解决方案的目标地区具备以下条件：

按照以下步骤在AWS上部署此解决方案。

您可以使用现有的OpenID Connect（OIDC）提供者，或按照此指南创建一个OIDC客户端。

提示

默认情况下，此解决方案在VPC中部署控制台时不需要SSL证书。您必须使用OIDC客户端来支持具有http协议的回调URL。

登录AWS管理控制台，并使用下方按钮启动AWS CloudFormation模板。

在AWS控制台中启动

在AWS区域中启动

在AWS中国区域中启动
登录控制台后，模板将在默认区域中启动。如果要在其他AWS区域中启动亚马逊云科技点击流分析解决方案，请使用控制台导航栏中的区域选择器。
在创建堆栈页面上，验证Amazon S3 URL文本框中显示的正确模板URL，并选择下一步。
在指定堆栈详细信息页面上，为您的解决方案堆栈指定一个名称。有关命名字符限制的信息，请参阅AWS Identity and Access Management用户指南中的IAM和AWS STS配额部分。

在参数下，查看模板的参数，并根据需要进行修改。

参数	默认值	描述
VPC ID (`VpcId`)	`<需要输入>`	选择要部署解决方案的VPC。
Private Subnet IDs (`PrivateSubnets`)	`<需要输入>`	选择要部署解决方案的子网。注意：您必须至少选择两个跨两个可用区的子网。
OpenID Connector Client Id (`OIDCClientId`)	`<输入>`	OpenID Connect 客户端 ID。
OpenID Connector Issuer (`OIDCProvider`)	`<输入>`	OpenID Connect 提供程序发行方。发行方必须以 `https://` 开头
Admin User Email (`Email`)	`<需要输入>`	指定管理员的电子邮件地址。此电子邮件地址将收到一个临时密码，用于访问亚马逊云科技点击流分析 Web 控制台。您可以在启动解决方案后直接在配置的 Cognito 用户池中创建更多用户。
IAM Role Prefix (`IamRolePrefix`)	`<可选输入>`	指定在解决方案中创建的 IAM 角色名称的前缀。
IAM Role Boundary ARN (`IamRoleBoundaryArn`)	`<可选输入>`	指定在解决方案中创建的IAM 角色的权限边界。

您可以在AWS CloudFormation控制台中的状态列中查看堆栈的状态。大约10分钟后，您应该会收到CREATE_COMPLETE状态。

登录 AWS CloudFormation 控制台。
选择解决方案的堆栈。
选择输出选项卡。
获取 ControlPlaneURL 作为端点。
将回调 URL ${ControlPlaneURL}/signin 更新或添加到您的 OIDC 客户端。
1. 对于 Keycloak，请在 有效重定向 URL 中添加或更新 URL。
2. 对于 Authing.cn，请在 身份验证配置 的 登录回调 URL 中添加或更新 URL。

重要提示

您的登录凭据由 OIDC 提供者管理。在登录到亚马逊云科技点击流分析控制台之前，请确保您已在 OIDC 提供者的用户池中创建了至少一个用户。

由于您将解决方案控制台部署在无公共访问权限的 VPC 中，您需要建立与由内部应用负载均衡器提供服务的解决方案控制台的网络连接。以下是一些选项供您参考。
1. （选项 1）使用跳板主机，例如 Linux 跳板主机在 AWS 上解决方案。
2. （选项 2）使用 AWS Client VPN 或 AWS Site-to-Site VPN。
3. （选项 3）使用 AWS Direct Connect。
应用负载均衡器只允许来自指定安全组的流量通过，您可以从步骤 2 中部署的堆栈的名为 SourceSecurityGroup 的输出中找到安全组 ID。然后将安全组附加到您的跳板主机或其他访问解决方案控制台的源。
在 Web 浏览器中使用先前分配的域名或生成的 ControlPlaneURL。
选择登录，并导航到 OIDC 提供者。
输入登录凭据。根据您的 OIDC 提供者的策略，您可能会被要求更改首次登录的默认密码。
完成验证后，系统将打开亚马逊云科技点击流分析 Web 控制台。

登录到亚马逊云科技点击流分析控制台后，您可以开始为您的应用程序创建项目。

	在AWS控制台中启动
在AWS区域中启动
在AWS中国区域中启动